Postfix als Smarthost für Exchange 2010 mit TLS

[axelK77 10]

Hallo Forum,

 

das Ziel soll sein, wie im Titel beschrieben.

Ich benötige hier mal Hilfe von jemandem, der diese Konstellation bereits umgesetzt hat. Aktuell steh ich etwas auf'm Schlauch.

 

POSTFIX habe ich mit SMTP-AUTH und TLS erfolgreich eingerichtet. Er nimmt

Mails für mehrere Domain entgegen und leitet mir diese über die transport_map weiter an den Exchange und vice versa. Allerdings bisher nur, wenn im Sendeconnector (EXCH2010) die "Standardauthentifizierung über TLS" deaktiviert ist. Im Empfangsconnector habe ich aktuell auch nur "Standardauthentifizierung" angehakt. Somit läuft der Mailverkehr.

 

Nun möchte ich das soweit abgesichert/verschlüsselt haben, wie es geht.

STARTTLS auf dem Smarthost ist kein Thema, funktioniert. Lässt sich per Telnet ja schnell überprüfen oder hiermit "openssl s_client -connect mail.mydomain.eu:25 -starttls smtp".

 

Auf dem Smarthost habe ich noch unter /etc/postfix/certs folgende Dateien:

cacert.pem

cakey.pem

smtpd.crt

smtpd.csr

smtpd.key

 

Wie oder was muss jetzt gemacht werden, damit ich unter "Exchange-Zertifikate" in der Exchange-Verwaltungskonsole ein Zertifikat habe, bzw. den Gegenpart zum TLS vom POSTFIX/Smarthost.

 

Freue mich auf "Starthilfe". Danke.

 

axel

[RobertWi 81]

Moin,

 

wie lautet denn der Fehler in den Protokollen (bei Postfix und Exchange), wenn Du mit TLS senden willst?

[axelK77 10]

Hallo Robert,

 

also die Mail auf dem Exchange in der Warteschlange steht mit folgendem Fehler drin:

451 4.4.0 Primary target IP address responded with: "454 4.7.5 Certificate validation failure."

 

Vom Postfix/mail.log gibt es nur diese Meldungen, wenn es um TLS geht.

postfix/smtpd[5726]: connect from dynip.provider.de[xx.xxx.xx.41]
postfix/smtpd[5726]: setting up TLS connection from dynip.provider.de[xx.xxx.xx.41]
postfix/smtpd[5726]: Anonymous TLS connection established from dynip.provider.de[xx.xxx.xx.41]: TLSv1 with cipher AES128-SHA (128/128 bits)
postfix/smtpd[5726]: disconnect from dynip.provider.de[xx.xxx.xx.41]

 

Mehr kann ich nicht bieten, was logs betrifft.

 

Grüße

axel

[RobertWi 81]

Moin,

 

offensichtlich akzeptiert Postfix das Zertifikat von Exchange nicht.

 

Dann müssen wir jetzt auf einen Fachmann für Postfix warten, der erklärt, ob man zwingend ein korrektes Zertifikat in Exchange braucht oder ob man in Postfix die Prüfung auch deaktivieren kann - und was das leichtere von beiden ist.

[axelK77 10]

Hallo,

 

vertue ich mich?

Bei SSH z.B. erstelle ich einen öffentlichen und einen privaten Key. Der öffentliche kommt auf meine Clients, damit ich mich entsprechend auf einem Server einwählen kann.

 

Läuft es bei den Zertifikaten nicht auf so, dass hier vom Postfix ein Zertifikat erstellt wird, wovon auch eins für den Exchange exportiert werden kann, um es in der Verwaltungskonsole einzupflegen?

 

Cheers

axel

[RobertWi 81]

Moin,

 

das was Du meinst, nennt sich Domain Security und kann Exchange seit 2007 auch endlich mal. Du brauchst dafür natürlich pro Richtung ein Zertifikat, das gegenseitig ausgetauscht wird.

 

Das geht natürlich auch, muss aber explizit konfiguriert werden, den im Normalfall kenne ich ja meinen Gegenüber nicht, weil es bei jeder Domain ein anderer Server ist.

 

Das ändert aber nichts daran, dass ich nicht weiß, was Postfix braucht, damit er das Zertifikat von Exchange als vertrauenswürdig akzeptiert. Exchange wird Dir zum Beispiel jedes Mal eine Warnung generieren, wenn das Zertifikat vom Postfix für Exchange nicht vertrauenswürdig ist, wird es aber trotzdem benutzen (glaube ich zumindest, kann aber auch sein, dass Exchange das trotzdem nicht nimmt).

 

Domain Security muss übrigens in der EMS konfiguriert werden, weil das Zertifikat dem Connector zugeordnert werden muss, das geht in der EMC nicht. Aber das steht alles in meinem Link oben.